摘要: 一、跨25省区市的特大信息买卖案回顾 上月,辽宁省公安机关破获了一个跨25省区市的特大公民个人信息泄露案,抓获犯罪嫌疑人201名,铲除42个信息泄露源头,摧毁了9个涉案地域广、涉案人员多、信息数量、种类及涉案金额大的侵犯公民个人信息犯罪团伙。 二、个人...
一、跨25省区市的特大信息买卖案回顾
上月,辽宁省公安机关破获了一个跨25省区市的特大公民个人信息泄露案,抓获犯罪嫌疑人201名,铲除42个信息泄露源头,摧毁了9个涉案地域广、涉案人员多、信息数量、种类及涉案金额大的侵犯公民个人信息犯罪团伙。
二、个人信息买卖供应链是怎样的?
涉及该案的侵犯公民个人信息泄露团伙均由信息泄露源头(查询员)、一级代理商(均无业)、二级代理商、下游代理商和客户多个层级组成,各团伙既独立形成上下线,又相互交叉,形成联系密切的犯罪集团,信息泄露源头相对独立,但同时为多个信息贩卖代理商提供信息,代理商通过建立微信群、QQ群买卖信息。
例如:案件中,一级代理商张某某是主要做手机定位。由要找人的下家提供手机号,张某某将手机号再提供给上家——相关部门的技术人员,技术人员再将与该手机号匹配的基站发给张某某,由张某某通过专门的软件锁定要找对象的具体位置。
此信息买卖案件的关键在于相关部门的技术人员通过一些手段获得手机号匹配的基站,如通过内部查询数据库或使用SQL注入,跨站脚本攻击,IP欺骗等技术手段窃取数据库信息等。
据报道相关部门技术人员几分钟就将手机号匹配的基站等信息提供给张某某,可以看出数据库安全防护之薄弱。
三、个人信息供应链暴露出的安全漏洞
1、数据库敏感信息被访问无及时告警
无论是金融行业、医疗行业,还是案件中的通信行业,客户信息都是敏感重要的信息,案件中,相关技术人员查询或窃取手机号基站信息时,对此没有应对措施,导致敏感信息泄露时无法及时告警。
2、对访问数据库的人无法进行明确定位
案例中,相关技术人员在查询过手机号匹配的基站信息后,如果公安机关能够精准定位到“人”,并进行事件回溯,将大大降低案件破解难度。
四、如果这些数据库有审计系统……
信息泄露案件暴露了当前银行、保险公司等金融系统已成为公民个人信息泄露的重灾区。另外,快递公司、售票机构等也日渐成为个人信息泄露的重点领域。
《中华人民共和国网络安全法》,在保护个人信息、治理网络诈骗、保护关键信息基础设施、网络实名制等方面作出明确规定,并划出了网络世界里不可触碰的“红线”,为公众普遍关注的一系列网络安全问题,勾画了基本的制度框架。
同时,内部防控机制也应进一步完善。特大信息买卖案犯罪嫌疑人之一、一家快递公司工作人员覃某某说,每次在查询客户信息时,都能选好角度躲开头顶上方的摄像头,再加上制度上的权限约束不够,自己不费力就能觅得时机大量查询个人信息。
昂楷数据库安全高级工程师表示,“最坚固的堡垒都是从内部攻破的”,即使个人信息保护体系再完善,行业“内鬼”总是防不胜防,但可以通过一些技术手段对数据库系统进行监控,在事件发生时能够准确定位“内鬼”:
1、实时告警,详细记录
数据库安全审计系统采用独立的审计管理平台,敏感信息自动屏蔽。当有人查询敏感信息时,系统通过短信或者邮件,实时告警,并做详细记录何人、何时、使用何种方式操作,这时,犯罪分子的行为就被详细记录下来。
2、独创六元组,真正定位到“人”
系统支持工号、源IP、MAC、用户名、进程、操作系统类型、操作系统用户名、身份标示和审计,多重定位,杜绝仿冒。
3、智能规则库系统内置智能规则库,同时支持自定义规则,通过不同规则配置让系统更加符合每个企业不同的管理要求。
昂楷数据库安全高级工程师提出,网络安全法的出台,让网络安全有法可依,但重要的是发现和掌握不法分子的犯罪事实,才能够对其进行法律制裁,数据库安全审计系统的事件回溯功能,能够完整重现不法分子对数据库进行的详细操作,真正掌握不法分子的犯罪事实。
